Уязвимость в Windows Live ID делает доступными личные данные пользователя


KasperskyLabsЭкспертами Лаборатории Касперского была выявлена новая мошенническая кампания, в рамках которой злоумышленники используют Windows Live ID. Мошенники похищают личную информацию пользователя, хранящуюся на таких сервисах, как:

  • Xbox LIVE;
  • Zune;
  • Hotmail;
  • Outlook;
  • MSN;
  • Messenger;
  • OneDrive.


Мошенники рассылают пользователям Windows Live ID письма, в которых их уведомляют о том, что его учетная запись используется для рассылки нежелательных сообщений из-за чего будет заблокирована. Во избежание блокировки, необходимо обновить свои реквизиты в соответствии с новыми требованиями безопасности сервиса, для чего нужно пройти по ссылке, указанной в письме. Интересно то, что ссылка действительно вела на официальный сайт Windows Live, при этом не было выявлено никаких очевидных способов получить пароль и логин жертвы.

Более детальный анализ показал, что мошенники не стали применять стандартную процедуру и подменять официальную страницу Windows Live на поддельную, с которой идентификационные данные, введенные пользователем, отправлялись бы мошенникам. Вместо этого они воспользовались брешью безопасности в открытом протоколе авторизации OAuth. В результате, пройдя по ссылке и успешно авторизовавшись на сайте live.com, пользователь получает запрос от сервиса на разрешение автоматического доступа к персональной информации, списку контактов и адресов электронной почты.

Злоумышленники, эксплуатируя уязвимость в протоколе, смогли получить возможность осуществить данную махинацию. И хотя они не получают логин и пароль к учетным записям жертвы, в их руках оказываются имена и адреса из списка контактов, а также другая личная информация пользователя, включая расписание встреч и важных событий. Информация подобного рода может быть использована злоумышленниками в дальнейшем для осуществления фишинг-атак.


Обновлено (05.06.2015 10:55)